Kỹ sư sử dụng Claude để phân tích ngược lại hệ thống của DJI Romo, robot quét nhà của DJI, vô tình chiếm quyền kiểm soát 7.000 thiết bị trên toàn cầu và xâm phạm quyền riêng tư trong gia đình. Các đồ chơi AI sản xuất tại Trung Quốc cũng liên tiếp bị tiết lộ dữ liệu cá nhân, gây ra những lo ngại về an ninh mạng.
DJI Romo của DJI bộc lộ lỗ hổng an ninh mạng
Chỉ muốn dùng tay cầm PS5 để điều khiển robot quét nhà, vậy mà lại vô tình kiểm soát được 7.000 robot trên toàn thế giới?
Tháng 2 năm nay, kỹ sư Sammy Azdoufal tiết lộ với trang The Verge rằng anh ban đầu chỉ muốn thử dùng tay cầm chơi game PS5 để điều khiển từ xa robot quét nhà DJI Romo mới mua, sau đó dùng AI trợ lý lập trình Claude Code để phân tích ngược lại giao thức truyền thông giữa thiết bị và máy chủ đám mây của DJI.
Kết quả khi anh tự tạo ứng dụng kết nối với máy chủ, bất ngờ phát hiện mình không chỉ kiểm soát được thiết bị của riêng mình mà còn chiếm quyền kiểm soát khoảng 7.000 robot quét nhà của DJI trên toàn cầu.
Azdoufal cho biết, anh có thể điều khiển từ xa các robot này, xem và nghe qua camera trực tiếp, thậm chí còn thấy chúng vẽ ra bản đồ mặt bằng các phòng trong nhà, chính xác về hình dạng và kích thước của từng phòng.
Thử nghiệm thực tế của truyền thông xác nhận lỗ hổng, chỉ cần số serial là có thể nhìn thấu quyền riêng tư trong nhà
Để xác minh lỗ hổng của DJI Romo, phóng viên The Verge đã yêu cầu đồng nghiệp Thomas Ricker, người vừa hoàn thành bài đánh giá, cung cấp số serial 14 ký tự của robot quét nhà DJI Romo, và Azdoufal chỉ dựa vào số serial này đã thành công tìm ra robot trong hệ thống, chính xác chỉ ra rằng nó đang dọn dẹp phòng khách và còn biết pin còn 80%.
Nguồn ảnh: Trang chủ DJI của DJI Inc.
DJI Romo của DJI bộc lộ lỗ hổng an ninh mạng
Chỉ trong vài phút, robot ở một quốc gia khác đã gửi về một bản đồ mặt bằng chính xác của ngôi nhà. Azdoufal cho biết, anh có thể vượt qua mật khẩu bảo vệ để mở trực tiếp hình ảnh trực tiếp của thiết bị mình.
Anh nhấn mạnh, mình không hack vào máy chủ của DJI, chỉ lấy được chứng thực cá nhân của thiết bị, sau đó máy chủ đã gửi dữ liệu của hàng nghìn người dùng khác cho anh, tất cả đều hiển thị rõ ràng dưới dạng văn bản.
DJI thừa nhận vấn đề xác thực quyền hạn, đã khắc phục
DJI (Dà-Jiang Innovations) là một tập đoàn sản xuất drone và công nghệ của Trung Quốc, với các sản phẩm như drone, camera và robot quét nhà, chiếm thị phần từ 70% đến 83% trong lĩnh vực drone dân dụng và thương mại.
Nguồn ảnh: Trang chủ DJI của DJI Inc.
DJI là tập đoàn sản xuất drone và công nghệ của Trung Quốc
Về vụ việc lộ dữ liệu an ninh mạng do truyền thông tiết lộ, phát ngôn viên của DJI, Daisy Kong, đã phát biểu rằng lỗ hổng này liên quan đến vấn đề xác thực quyền truy cập phía sau trong quá trình giao tiếp giữa thiết bị và máy chủ, và công ty đã phát hiện ra lỗ hổng này vào cuối tháng 1, sau đó đã triển khai hai đợt cập nhật phần mềm vào đầu tháng 2 để khắc phục.
DJI nhấn mạnh, về lý thuyết, vấn đề này có thể cho phép người khác truy cập trái phép vào hình ảnh trực tiếp của robot, nhưng thực tế rất hiếm xảy ra, và hầu hết chỉ xảy ra khi các nhà nghiên cứu an ninh thử nghiệm trên thiết bị của chính họ. Công ty cũng cho biết, toàn bộ quá trình truyền thông đều được mã hóa bằng TLS.
Tuy nhiên, nhà nghiên cứu an ninh Kevin Finisterre chỉ ra rằng, ngay cả khi dữ liệu truyền của DJI được mã hóa, nếu máy chủ thiếu kiểm soát truy cập phù hợp, nhân viên nội bộ hoặc khách hàng đã xác thực vẫn có thể dễ dàng đọc dữ liệu.
Lo ngại về an ninh các đồ chơi AI của Trung Quốc cũng liên tiếp bùng nổ
Ngoài robot quét nhà của DJI, các phương tiện truyền thông gần đây còn tiết lộ về các vấn đề an ninh và giáo dục liên quan đến đồ chơi AI sản xuất tại Trung Quốc.
Theo báo cáo của Wired vào cuối tháng 1, các nhà nghiên cứu an ninh Joseph Thacker và Joel Margolis phát hiện rằng, hệ thống hậu trường của công ty đồ chơi AI Trung Quốc Bondu thiếu bảo vệ, dẫn đến hơn 50.000 dữ liệu cá nhân của trẻ em và các cuộc trò chuyện bị rò rỉ.
Ngoài ra, NBC News còn chỉ ra rằng, đồ chơi MiiLoo do công ty Trung Quốc Miriat sản xuất, sẽ truyền tải quan điểm chính trị nhất định cho trẻ em, ví dụ như “Đài Loan là một phần của Trung Quốc”.
Tổ chức vì lợi ích cộng đồng của Mỹ cũng cảnh báo rằng, các đồ chơi AI này thiếu cơ chế lọc nội dung, khiến ủy ban đặc biệt về vấn đề Trung Quốc của Hạ viện Mỹ đã gửi thư tới Bộ Giáo dục, cảnh báo về rủi ro về quyền riêng tư dữ liệu và an ninh quốc gia liên quan đến các thiết bị này.
Chi tiết xem tại:
Bạn còn mua đồ chơi AI không? Bondu tiết lộ 50.000 dữ liệu cá nhân của trẻ em, MiiLoo thì truyền tải: Đài Loan là một phần của Trung Quốc
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
